نام پژوهشگر: سید محمد صدیق اورعی

بهبود همبسته سازی هشدارهای امنیتی بر مبنای یک بازنمایی کارآمد از الگوهای حملات محتمل در سطح سازمان
thesis وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان 1389
  سید محمد صدیق اورعی   مهدی برنجکوب

از سیستم های تشخیص نفوذ برای شناسایی حمله ها در یک شبکه کامپیوتری استفاده می شود. حجم هشدارهای تولید شده توسط این سیستم ها بسیار زیاد است و مدیر شبکه از عهده بررسی آن ها بر نمی آید. این موضوع انگیزه ای برای تحلیل خودکار هشدارهای تولید شده ایجاد کرد. هدف از تحلیل خودکار هشدارها برطرف کردن چالش های سیستم های تشخیص نفوذ از قبیل: تعداد زیاد هشدارها، هشدارهای اشتباه، آگاهی سطح پایین از حملات و عدم وجود همبستگی بین هشدارها است. در حالت ایده آل یک هشدار از طرف سیستم همبسته ساز، مراحل مختلف یک حمله از آغاز تا هدف نهایی را مشخص می کند. از مهمترین ضروریات سیستم های تحلیل هشدار این است که پیچیدگی زمانی مناسبی برای کار در زمان برخط داشته باشند. از جدیدترین روش های همبسته سازی، روش های مبتنی بر آسیب پذیری های موجود در شبکه است. در این روش ها ابتدا آسیب پذیری های شبکه تحلیل شده و حمله های ممکن علیه شبکه استخراج می شود، سپس از این اطلاعات در همبسته سازی هشدارها استفاده می گردد. هر سوء استفاده برای اجرا نیاز به یک سری پیش نیاز دارد و بعد از اجرا پیامدهایی را ایجاد می کند که این پیامدها زمینه را برای حمله های بعدی آماده می کنند. با بررسی رابطه ی بین این سوءاستفاده ها می توان مسیرهای حمله احتمالی را استخراج کرد. در مدل پیشنهادی این پایان نامه سوءاستفاده های مرتبط با آسیب پذیری های شبکه استخراج شده و در قالب الگوهای ناامنی ذخیره می شوند. با بررسی پیامدها و پیش نیازهای این الگوهای ناامنی کلیه ارتباط های بین آن ها استخراج شده و در قالب یک گراف ذخیره می شوند. این گراف را گراف نوعی حملات نامگذاری می کنیم. با جستجو در گراف نوعی حملات کلیه ی مسیرهای ممکن برای تحقق هدف (های) نهایی حمله استخراج شده و به عنوان الگوهای حملات محتمل برای شبکه مورد نظر ذخیره می شوند. سپس هر هشدار تولید شده توسط سیستم تشخیص نفوذ به یکی از رأس های گراف نوعی حملات نگاشت شده و از الگوهای حملات ساخته شده برای همبسته کردن هشدارها و کشف سناریوهای حمله استفاده می شود. ساخت الگوهای حملات محتمل فقط یکبار و بعد از هر تغییر در شبکه به صورت برون خط انجام می شود و سپس از آن ها برای همبسته سازی هشدارها در زمان برخط استفاده می شود. کاربرد الگوهای حملات محتمل محدود به همبسته سازی هشدارها نیست. این الگوهای حمله در قسمت های مختلف مدیریت امنیت شبکه کاربرد دارند، از مهمترین این کاربردها می توان به ارزیابی مقاومت شبکه در مقابل حملات اشاره کرد.